闇サイト「BidenCash」が216万件のクレジットカードを「1周年記念」で無料放出

盗み取られたカード情報などが取引されるダークウェブのマーケットプレイス「BidenCash」が、設立1周年を記念して216万5700件ものクレジットカードおよびデビットカードのデータベースを無料で流出させたことが判明しました。

Cyble — Over 2 Million Cards Leaked By BidenCash
https://blog.cyble.com/2023/03/01/over-2-million-cards-leaked-by-bidencash/

BidenCash Dumps 2.1 Million Stolen Credit Cards | Flashpoint
https://flashpoint.io/blog/card-shop-threat-landscape-bidencash-dumps-stolen-credit-cards/

BidenCash market leaks over 2 million stolen credit cards for free
https://www.bleepingcomputer.com/news/security/bidencash-market-leaks-over-2-million-stolen-credit-cards-for-free/

BidenCashは2023年2月28日に、「大切なお客様へ。私たちはオンラインストアとして1周年を迎えることができ、とても感激しています」などと述べて、200万枚以上のカード情報をリークさせたことを明かしました。BidenCashから流出したデータベースは、「XSS」と呼ばれるロシア語圏のサイバー犯罪フォーラムを通じて拡散されました。

この一件を最初に報じたサイバーセキュリティ企業のCybleによると、データベースには少なくとも74万858枚のクレジットカード、81万1676枚のデビットカード、293枚のチャージカード(クレジットカードの一種)が含まれていたとのこと。また、カード情報だけでなく氏名、電子メール、電話番号、住所などの個人情報も大量に含まれていました。そのため、これらのデータはフィッシング攻撃などを行う犯罪者にとって非常に有用であることが示唆されています。

被害者が多い地域を示したヒートマップは以下の通り。

アメリカの約96万件を筆頭に、メキシコや中国で約10万件、イギリスで約9万件の被害が発生するなど、流出したデータには世界各地から盗み出されたカード情報が含まれていました。

カードの約70％は2023年中に期限が切れるものでしたが、最長で2052年まで有効なものもあったとのこと。Cybleは、「メールアドレスと完全な個人情報はサイバー犯罪者の間で『Fullz』と呼ばれており、流出してしまうと被害者はカードの有効期限が過ぎてもフィッシング攻撃やなりすまし、詐欺などの攻撃にさらされやすくなってしまいます」と述べて、仮に有効期限が過ぎていても犯罪に使われた場合の危険性は高いとの認識を示しました。

BidenCashがカード情報を大規模に流出させたのはこれが最初ではありません。BidenCashは2022年10月にも122万1551枚のカード情報を無料公開し、自サイトの宣伝を行っています。

Cybleは「脅威アクターは、BidenCashのような盗まれたカード情報のマーケットプレイスを通じてデータを購入し日常的に詐欺行為を行っていますが、データが無料で公開されればより多くの不正行為が行われます。銀行機関は、こうしたデータの流出や不正行為を念頭にダークウェブを監視し、積極的に被害を防止しなければなりません」と述べました。